La proliferazione delle API mette a rischio la cybersicurezza delle aziende. Lo svela un rapporto di F5

Another ICT Guy

La proliferazione delle API mette a rischio la cybersicurezza delle aziende. Lo svela un rapporto di F5

Le API tendono ad aumentare sempre più e, con esse, i rischi legati alla sicurezza. L’eccessiva proliferazione di API differenti o in diverse versioni rende difficile per le aziende tenere traccia delle vulnerabilità e dei problemi di sicurezza, con conseguenti rischi futuri riguardo il loro controllo. F5 ha realizzato uno studio, “Continuous API Sprawl: Challenges and Opportunities in an API-Driven Economy”, di cui abbiamo parlato con Paolo Arcagni, senior manager per system engineering Italia e Iberia di F5.

La proliferazione delle API è un rischio. Lo studio di F5

Le API (acronimo di Application Programmable Interface) non sono altro che chiamate verso servizi e applicazioni che possono essere interni o esterni ai sistemi aziendali. Nel mondo di Internet odierno c’è un continuo dialogo tra diversi servizi proprio tramite le API: visitare una qualunque pagina Web porta a interrogare anche decine di servizi differenti che sono ospitati da società diverse e si occupano di eseguire funzioni differenti, come ad esempio la raccolta di statistiche sulle visite o l’inserimento di pubblicità. L’attuale tendenza verso l’adozione di architetture a microservizi esaspera questo aspetto: attualmente sono disponibili circa 200 milioni di API, ma entro il 2030 si stima che tale numero possa salire a 1,7 miliardi.

Tuttavia, non esiste uno standard preciso né un vero e proprio governo delle API: ciascuna azienda produce le proprie e le mette a disposizione dei propri servizi interni o dei propri partner, magari in diverse versioni. Nel suo studio, F5 ha mostrato come il problema stia proprio qui: molte aziende non governano in maniera forte il proprio uso delle API e il risultato è che ne sono presenti moltissime che competono fra loro, che non sono compatibili (perché mancano degli standard) e che non vengono controllate adeguatamente dal punto di vista della sicurezza, né vengono documentate adeguatamente.

Questo porta al fenomeno della proliferazione eccessiva delle API, con sfide importanti sia in termini organizzativi, sia di sicurezza. Il problema della gestione delle API non è nuovo ed è, in realtà, sentito anche sulle piattaforme “tradizionali”; “la differenza sta proprio nel modello di consumo delle API in ambienti moderni: in quest’ambito, infatti, assistiamo a rilasci continui e automatizzati, con una maggiore proliferazione di versioni differenti delle medesime API, ambienti di staging, di development e di produzione molto più integrati con esigenze di blue/green deployment e canary testing”, ci dice Arcagni. “Sostanzialmente, nel caso di ambienti moderni, siamo di fronte a una dinamicità che deve essere gestita all’edge e sulle piattaforme di API Management, Security e delivery in maniera puntuale e integrata delle pipeline di deployment.”

Da questa proliferazione arrivano problemi di sicurezza: il 90% delle aziende avrebbe, secondo F5, avuto nell’ultimo anno problemi di cybersicurezza legati alle API, mentre un recente rapporto di IBM ha svelato come i due terzi degli incidenti di sicurezza in cloud ha origine in una configurazione non corretta delle politiche di sicurezza riguardo le API.

Paolo Arcagni, F5

Arcagni (in foto) ci dice che “sappiamo per certo che, oggi, più dell’80% del traffico Internet trasportato su HTTP sono API. Così come è sotto gli occhi di tutti che il multi cloud o, per meglio dire, il cloud ibrido sta diventando una realtà per moltissime aziende in settori di mercato anche molto diversi tra loro. Dal punto di vista della sicurezza, tutto questo non fa altro che aumentare esponenzialmente la cosiddetta superficie di attacco a disposizione di malintenzionati. Una delle principali problematiche rilevate in quasi tutte le aziende è la completa mancanza di informazioni sull’esatto numero di API esposte a Internet: questo significa che molte di esse non sono messe in protezione, perché il problema non è all’attenzione degli organismi di controllo delle aziende. Questo è solo un esempio dei problemi che la proliferazione di applicazioni ed API può causare; è necessario quindi poter disporre di strumenti di protezione delle API in grado di funzionare in maniera omogenea in tutti i punti della rete ibrida e in forma nativa, in modo da rendere naturale e indolore l’adozione della sicurezza delle API.”

Un intervento “dall’alto”, ad esempio da parte di governi o enti regolatori, non è però l’ideale per governare il fenomeno. Secondo Arcagni, “crediamo che ogni azienda debba provvedere a una governance della API, e ogni business è differente. Standardizzare è sicuramente possibile, anche se non semplice: le possibili complicazioni scaturiscono dalla proliferazione stessa delle API, dal versioning incontrollato e soprattutto dall’adozione sempre più massiccia di ambienti applicativi moderni e multi-cloud. Per questi motivi, è fondamentale avere una governance comune a tutte le business unit aziendali per la produzione di API coerenti, nonché disporre di strumenti di gestione, delivery e sicurezza delle API che siano il più possibile omogenei in tutti gli ambienti di produzione, siano essi datacenter tradizionali o regioni di public cloud di vendor differenti.”

Come arginare la proliferazione delle API?

Ci sono, però, soluzioni all’orizzonte. Secondo F5 assisteremo nel prossimo decennio alla nascita di servizi per tenere sotto controllo le proprie API e per farne un catalogo, così da poter dismettere effettivamente quelle non più in uso o non più supportate. Inoltre, “l’adozione di librerie e strumenti open source può sicuramente aiutare ad aumentare la coerenza e l’omogeneità delle API, a patto che anche questi strumenti rientrino nella governance e vengano amministrati correttamente. In questo caso, sarà necessario porre particolare attenzione alla sicurezza delle librerie stesse, adottando strumenti di analisi del codice, ma soprattutto proteggendo costantemente tutte le API esposte con sistemi di API Security che siano in grado di bloccare anche quegli attacchi resi possibili da falle di sicurezza che potrebbero sempre essere presenti nelle librerie open source adottate.”

Il momento di agire per tenere sotto controllo il fenomeno è però quello attuale: le aziende devono cominciare oggi a pensare a come governare al meglio le proprie API. Il rapporto integrale è disponibile sul sito di F5.

Fonte: http://feeds.hwupgrade.it/

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.